樂(lè)購(gòu)網(wǎng)訊 4月10日消息,360網(wǎng)站安全檢測(cè)平臺(tái)透露,該平臺(tái)近期協(xié)助ShopEx(商派)網(wǎng)上商店系統(tǒng)修復(fù)兩處高危漏洞,建議廣大采用ShopEx建站系統(tǒng)的電商網(wǎng)站盡快安裝補(bǔ)丁。據(jù)介紹,ShopEx漏洞由技術(shù)高手cond0r提交給360網(wǎng)站安全漏洞懸賞“庫(kù)帶計(jì)劃”,從而推動(dòng)ShopEx快速修復(fù)了漏洞。
ShopEx系統(tǒng)是國(guó)內(nèi)市場(chǎng)占有率最高的B2C網(wǎng)店建站系統(tǒng)之一,眾多知名企業(yè)均使用該系統(tǒng)建立電商網(wǎng)站。一旦ShopEx系統(tǒng)的漏洞被黑客利用,大批電商網(wǎng)站將面臨數(shù)據(jù)庫(kù)被“拖庫(kù)”、網(wǎng)站被篡改等風(fēng)險(xiǎn),也會(huì)對(duì)網(wǎng)購(gòu)消費(fèi)者造成嚴(yán)重?fù)p失。360協(xié)助ShopEx修復(fù)漏洞,有助于廣大電商網(wǎng)站提升防黑能力,保護(hù)消費(fèi)者的賬號(hào)安全。
此次,360“庫(kù)帶計(jì)劃”接到的ShopEx漏洞包括SQL注入漏洞和文件包含漏洞。其中,SQL注入漏洞直接威脅網(wǎng)站服務(wù)器和數(shù)據(jù)庫(kù),可導(dǎo)致數(shù)據(jù)庫(kù)被黑客“拖庫(kù)”;文件包含漏洞則可被黑客利用獲取服務(wù)器敏感文件內(nèi)容,或直接執(zhí)行惡意腳本等,同樣具有較大危害。
據(jù)悉,360“庫(kù)帶計(jì)劃”是國(guó)內(nèi)首個(gè)第三方漏洞付費(fèi)收錄平臺(tái),以現(xiàn)金獎(jiǎng)勵(lì)方式征集開(kāi)源建站系統(tǒng)漏洞,單個(gè)漏洞獎(jiǎng)勵(lì)金額最高可達(dá)1萬(wàn)元。自3月份“庫(kù)帶計(jì)劃”啟動(dòng)以來(lái),360網(wǎng)站安全檢測(cè)平臺(tái)已經(jīng)收集了包括DISCUZ、PHPWIND、DEDECMS、PHPCMS、齊博CMS、NetGather等多個(gè)知名建站系統(tǒng)的漏洞,并協(xié)助廠商及時(shí)修復(fù)。
目前,ShopEx官網(wǎng)已經(jīng)發(fā)布漏洞補(bǔ)丁,360網(wǎng)站安全檢測(cè)平臺(tái)(http://webscan.360.cn)也第一時(shí)間向注冊(cè)用戶發(fā)送了告警郵件,提醒站長(zhǎng)們盡快打補(bǔ)丁;同時(shí)建議網(wǎng)站站長(zhǎng)們免費(fèi)啟用360網(wǎng)站衛(wèi)士(http://wangzhan.360.cn/),可以在官方補(bǔ)丁發(fā)布前有效防范各種0day漏洞攻擊。
附:ShopEx網(wǎng)上商店系統(tǒng)漏洞及補(bǔ)丁情況
ShopEx官方補(bǔ)丁程序下載地址:http://bbs.shopex.cn/read.php?tid-299932.html
ShopEx系統(tǒng)文件包含漏洞存在于/core/api/shop_api.php文件中的shop_api函數(shù)中:
圖1:ShopEx文件包含漏洞對(duì)應(yīng)的代碼位置
以下是測(cè)試demo:
圖2:文件包含漏洞測(cè)試效果
SQL注入漏洞存在于/core/shop/controller/ctl.member.php文件中的insertRec函數(shù)中:
圖3:SQL注入漏洞對(duì)應(yīng)的代碼位置
利用SQL注入漏洞獲取到用戶名密碼hash值:
圖4:SQL注入漏洞利用效果
關(guān)于360網(wǎng)站安全服務(wù)
360為站長(zhǎng)提供免費(fèi)的網(wǎng)站安全解決方案,包括360網(wǎng)站安全檢測(cè)平臺(tái)和360網(wǎng)站衛(wèi)士:
360網(wǎng)站安全檢測(cè)平臺(tái)是國(guó)內(nèi)首個(gè)集網(wǎng)站漏洞檢測(cè)、網(wǎng)站掛馬監(jiān)控、網(wǎng)站篡改監(jiān)控于一體的免費(fèi)檢測(cè)平臺(tái),擁有全面的網(wǎng)站漏洞庫(kù)及蜜罐集群檢測(cè)系統(tǒng),能夠第一時(shí)間協(xié)助網(wǎng)站檢測(cè)修復(fù)漏洞;
360網(wǎng)站衛(wèi)士則為站長(zhǎng)免費(fèi)提供網(wǎng)站防火墻、DDOS保護(hù)、CC保護(hù)、智能DNS解析、盜鏈保護(hù)、頁(yè)面壓縮、緩存加速和永久在線等服務(wù)。
【想看更多互聯(lián)網(wǎng)新聞和深度報(bào)道請(qǐng)關(guān)注樂(lè)購(gòu)網(wǎng)官方微信。(微信號(hào):樂(lè)購(gòu)網(wǎng))】
推薦閱讀
微軟發(fā)布4月安全公告 電腦管家提醒及時(shí)修復(fù)
速途網(wǎng)訊 北京時(shí)間今日凌晨,微軟發(fā)布了例行的安全公告。修復(fù)了IE瀏覽器、Windows系統(tǒng)內(nèi)核、遠(yuǎn)程桌面客戶端及Office軟件等多個(gè)重要安全漏洞。與此同時(shí),Adobe公司又借微軟補(bǔ)丁日的東風(fēng),完成了4月Flash安全更新的首發(fā)>>>詳細(xì)閱讀
本文標(biāo)題:360網(wǎng)站安全檢測(cè)平臺(tái)協(xié)助ShopEx修復(fù)高危漏洞
地址:http://m.sdlzkt.com/a/11/20130416/265256.html
網(wǎng)友點(diǎn)評(píng)
精彩導(dǎo)讀
科技快報(bào)
品牌展示